這個職業(yè)現(xiàn)在僅在自我定位中。

因數(shù)據(jù)泄露事件造成的惡劣影響，首席信息安全官(CISO)角色被人們重新認(rèn)識。公眾注意的中心再次跟隨一系列引人注目的大公司數(shù)據(jù)泄露事件，也帶動了對受害者信息安全項目內(nèi)部運(yùn)作的仔細(xì)審視。

許多商業(yè)企業(yè)仍未能更新他們的安全項目并認(rèn)命集中管理崗位。還記得2011年RSA SecureID雙因子認(rèn)證數(shù)據(jù)泄露事件以及2012年LinkedIn用戶密碼被盜事件嗎?當(dāng)時沒有一家組織有專職CISO。事件之后這兩家公司都已補(bǔ)充了該職位。

回顧剛過去的這一年，幾個家喻戶曉的企業(yè)--財富500強(qiáng)的Target和摩根大通，同樣遭受了令人矚目的數(shù)據(jù)泄露事件。它們沒有CISO，甚而也沒有專職負(fù)責(zé)安全風(fēng)險項目管理的領(lǐng)導(dǎo)層?？蛻魧Υ瞬粷M，而無論監(jiān)管者、銀行、信用卡放款人或是供應(yīng)鏈也都對此不滿。

伴隨較高薪資與復(fù)雜挑戰(zhàn)的誘惑，CISO這一職位為那些抗高壓的個人提供了機(jī)會。他們要能制定安全與風(fēng)險管理項目，彌合管理層與工程師間的鴻溝，并能在只有模糊細(xì)節(jié)的技術(shù)控制措施與合規(guī)框架中找到正確做事方法。升職至CISO的職業(yè)生涯往往始于計算機(jī)科學(xué)、軍隊與情報或執(zhí)法工作。CISO這一職業(yè)仍在不斷發(fā)展中，然而該領(lǐng)域的許多人看來，它的作用仍有很大程度未被明確。

2013年節(jié)日期間因數(shù)據(jù)泄露事件遭受到數(shù)億損失的Target，近日聘用了它的第一位CISO，Brad Maiorino。這位前通用汽車CISO及首席風(fēng)險官在今年七月告訴《紐約時報》：“正是現(xiàn)在，我們有機(jī)會明確CISO的定位以及我們的匯報對象，身處這一職位是一個激動人心的時刻。”

平衡舉措

早期CISO或多或少扮演著高級管理員角色，他們工作于后勤部門并負(fù)責(zé)防火墻基本配置。Cubic Corp.首席網(wǎng)絡(luò)安全戰(zhàn)略官Bruce Brody直言：“在那個位置沒有真正C級別或者高管級別的角色。”Bruce Brody分別在退伍軍人事務(wù)部、能源部以及國防部承包商DRS技術(shù)歷練了其15年的CISO職業(yè)生涯。

當(dāng)然這正在發(fā)生變化。隨著安全風(fēng)險與隱私泄露事件的急劇上升，現(xiàn)在CISO這一角色貫穿IT、合規(guī)、業(yè)務(wù)連續(xù)性、人員及設(shè)施，這使得商業(yè)企業(yè)很難決策如何在組織架構(gòu)中合理設(shè)置這一職位。Brody認(rèn)為：“涉足組織的不同領(lǐng)域已使得CISO可以就座于領(lǐng)導(dǎo)層議席。”

CISO基本年薪

為了應(yīng)對不斷變化的威脅格局，一些公司已經(jīng)更新了他們的網(wǎng)絡(luò)安全關(guān)注重點(diǎn)，逐漸投入更多資源給CISO這一職位。Alta Associate是一家位于Flemington, N. J.的高端獵頭公司。其資深獵頭Cindy Miseli認(rèn)為，“為了更充分地做好準(zhǔn)備，我們的客戶正在提升CISO職位到真正高管層，而不是需要向C級別匯報的總監(jiān)級別職位，并逐漸增加預(yù)算，預(yù)期增加人員名額并加大技術(shù)投資。”

CISO職位通常在具備1000人或以上規(guī)模的企業(yè)才會設(shè)立，但市場研究機(jī)構(gòu)Gartner建議150人規(guī)模的組織也應(yīng)考慮聘用專職的CISO。

Alta Associate有著25年歷史，長期從事IT風(fēng)險管理及安全領(lǐng)域的高管人才招聘。Miseli認(rèn)為， CISO現(xiàn)在將開始聘用更多專業(yè)的直接下屬，他們在IT取證、事件響應(yīng)、安全運(yùn)營和控制以及IT風(fēng)險管理等領(lǐng)域具備較深入的技術(shù)能力。同時，安全官正被給予機(jī)會參與傳統(tǒng)信息安全項目之外的企業(yè)計劃，如兼并與收購以及產(chǎn)品戰(zhàn)略。

“我們正見證客戶在尋找候選人上的轉(zhuǎn)變，不僅需要有成就的技術(shù)專才，還有那些有戰(zhàn)略眼光的業(yè)務(wù)驅(qū)動型領(lǐng)導(dǎo)者，后者有能力吸引、挖掘并獲得有能力保護(hù)公司品牌與資產(chǎn)的頂尖人才”，Miseli還說：“這正是驅(qū)使薪酬包因組織的規(guī)模與范圍存在30萬美元到50萬美元差異的關(guān)鍵因素。”

CISO基本年薪

N=133位CISO，《2013薪水基準(zhǔn)報告》，Ponemon Institute。

僅是名義上的

CISO職位通常在1000人或以上規(guī)模的企業(yè)才會設(shè)立，但是市場研究機(jī)構(gòu)Gartner建議150人規(guī)模的組織就應(yīng)該考慮聘用專職的CISO。Gartner分析師Paul E. Proctor在《CISO商業(yè)案例》2012年報告中寫到，未設(shè)立專職CISO職位的實體，范圍從采用“無知是福安全模型”的公司，到那些有著出色的安全控制措施、也因此看不到集中安全領(lǐng)導(dǎo)崗位需求的公司。Proctor還認(rèn)為，其他公司即使名義上設(shè)置了CISO職能，卻將安全工作分配給法務(wù)或IT部門，而這些部門沒有時間做專職投入。

Brody認(rèn)同這一現(xiàn)象在政府及商業(yè)企業(yè)均存在。“大多數(shù)組織已經(jīng)遭受到了惡意軟件或持續(xù)威脅的重?fù)艋蚬?mdash;惡意攻擊發(fā)生在他們的基礎(chǔ)設(shè)施上，”Brody認(rèn)為，“但只能說他們具備CISO檢查框，用于告知董事會和投資方，‘是的，我們有首席信息安全官。’至少，他們采取措施并放了專人在崗，而且從薪酬方面他們也算為CISO投入了資源。不幸的是，這并不能解決任何問題。”

盡管日益增加的責(zé)任與更高的要求，許多公司的CISO職位仍然是技術(shù)驅(qū)動與執(zhí)行層面的，他們僅有極為有限的時間花在戰(zhàn)略和策略制定上。Ponemon Institute分析了133位CISO的數(shù)據(jù)，作為2013年重要薪資調(diào)查的一部分。當(dāng)CISO們被問及他們時間花費(fèi)時，以100分計，其中監(jiān)控與審計得分最高(24分)，接下來是完善策略(16分)，事件管理(12分)，業(yè)務(wù)連續(xù)性管理(11分)，風(fēng)險評估(10分)，依次往下。計劃(5分)和采購(4分)分值都相對低。策略制定(2分)、戰(zhàn)略設(shè)置(1分)以及公司內(nèi)部溝通(1分)在被調(diào)查者中，排名最低。#p#

關(guān)于戰(zhàn)術(shù)真相

該研究機(jī)構(gòu)的創(chuàng)始人及董事會主席Larry Ponemon，在他展示這些初始發(fā)現(xiàn)時指出，這一發(fā)現(xiàn)就CISO在戰(zhàn)略設(shè)置與策略制定中所起的作用直接達(dá)成共識。他說：“這再次說明CISO實際更偏戰(zhàn)術(shù)一些—這并不是荒誕的說法;這也不讓人意外。”

犯罪阻止部門——安全官工作完美的一天

· 發(fā)現(xiàn)了系統(tǒng)漏洞 19%

· 阻止了犯罪行為 32%

· 處理了犯罪行為 33%

· 獲得了認(rèn)可 2%

· 說服了管理層 3%

· 培訓(xùn)了管理層/董事會 3%

· 保障資金安全 3%

· 保護(hù)了同事/個人 5%

N=任職于1000人或以上規(guī)模公司的133位CISO，《2013薪水基準(zhǔn)報告》，Ponemon Institute。

Ponemon研究還發(fā)現(xiàn)，在1000人以上規(guī)模的公司，CISO的虛線關(guān)系分別涉及IT運(yùn)維(78%)、數(shù)據(jù)中心管理(55%)、公司合規(guī)(39%)、業(yè)務(wù)連續(xù)性管理(36%)、隱私官(28%)以及企業(yè)風(fēng)險管理(16%)，而人力資源與公司財務(wù)位列最后。

參與此次調(diào)查的CISO們資歷也有所不同：34%的安全官有MIS和計算機(jī)背景，20%有法律背景，16%有軍隊背景，而14%有情報經(jīng)驗。

Brody認(rèn)為：“你可以錄用任何聰明的人，通過正確的培訓(xùn)將他們培養(yǎng)成信息安全從業(yè)人員。要升遷至CISO職位，此人還需要具備極強(qiáng)的耐受力、使混亂變?yōu)橛行虻慕M織能力、跨越高管與工程技術(shù)間的鴻溝進(jìn)行高效溝通的能力……而且無論董事會上的西裝領(lǐng)帶還是后勤部門和IT部門中的夏威夷襯衫和牛仔褲著裝，他都能同等自若。”

“沒人會教給你這些技能，”Brody接著說，他本人職業(yè)生涯始于情報界，隨后換到命令控制的世界，接著進(jìn)入信息安全領(lǐng)域(跨域的多級安全)，經(jīng)歷幾個管理職能后到CISO職位。“你必須去學(xué)習(xí)它們。你還必須去找到問題、解決問題，接著進(jìn)入下一個問題，然后相應(yīng)地書寫你的簡歷。”

Gartner分析師Proctor推薦大型組織首先應(yīng)創(chuàng)建角色定義，然后“找到首要理解業(yè)務(wù)其次理解安全技術(shù)的適合人選。”

“如果你認(rèn)為問題可以通過技術(shù)解決，那么你也許并不理解問題實質(zhì)，”Brody認(rèn)為，“真正要做的事情是整體考慮。行政固然很重要，但你不能對技術(shù)一無所知。你的部分工作是制定技術(shù)控制措施以及那些合規(guī)框架的相關(guān)控制......，而除此之外你也還必須考慮其他方面。”

隨著源源不斷新的安全控制技術(shù)，挑選最適合企業(yè)架構(gòu)的技術(shù)將是一項艱巨的任務(wù)，也是這份工作最困難的一面。“有太多好主意”，Brody認(rèn)為，而針對所有這些技術(shù)控制的深入評估在信息安全空間完全缺失。

每一位信息安全官都在進(jìn)行決策，而不幸的是，一些最好的法子是單點(diǎn)解決方案。“當(dāng)有整體架構(gòu)可確保所有不同領(lǐng)域的安全時，首席信息安全官不可能關(guān)注于單點(diǎn)方案上。”他接著說。“單點(diǎn)方案不能解決1%的問題，因此你總是在尋找可以采用的企業(yè)級方案以改進(jìn)風(fēng)險概況。”

未知的職業(yè)通道

盡管這些工作的重要性，信息安全職業(yè)通道一直定位不清，同時還需要更多的勞動力。美國國土安全部于2013年7月發(fā)布的《美國國家網(wǎng)絡(luò)空間勞動力框架》，旨在就角色定位、技能要求及職業(yè)通道進(jìn)行員工教育。該框架由美國國家標(biāo)準(zhǔn)和技術(shù)研究院(NIST)、美國國家網(wǎng)絡(luò)空間安全教育計劃(NICE)與政府和私營實體聯(lián)合開發(fā)。根據(jù)這個框架，CISO的定位不同于信息系統(tǒng)安全官、IT總監(jiān)以及風(fēng)險執(zhí)行官，其主要負(fù)責(zé)安全項目管理：

管理組織內(nèi)的信息安全隱患、特定項目或承擔(dān)其他領(lǐng)域的責(zé)任，包括戰(zhàn)略、人員、基礎(chǔ)設(shè)施、政策執(zhí)行、應(yīng)急規(guī)劃、安全意識和其他資源。

就網(wǎng)絡(luò)空間安全而言，根據(jù)這個框架定義，首席信息官負(fù)責(zé)戰(zhàn)略規(guī)劃與策略制定。Clinger- Cowen法案(前身是1996年的信息技術(shù)管理變革法案)定義了政府部門的CIO職能。2002年的聯(lián)邦信息安全管理法案(FISMA)定義了高級機(jī)構(gòu)信息安全官，它已逐漸成為首席信息安全官。這兩個角色都在持續(xù)發(fā)展中。

Brody認(rèn)為，當(dāng)CIO與CISO在企業(yè)中協(xié)同工作時，CIO的工作本質(zhì)是“電源、ping以及管道”。CISO職位是保護(hù)、防御、回應(yīng)、響應(yīng)及恢復(fù)，而且這一連續(xù)的信息安全可能會干涉CIO的預(yù)算優(yōu)先級以及保持所有系統(tǒng)運(yùn)行的意愿。Ponemon研究表明，如果CISO繞過CIO、直接向董事會以及其他高管匯報，通常這種匯報方式會為CISO帶來更高的薪酬。

Ponemon研究表明，如果CISO繞過CIO、直接向董事會以及其他高管匯報，通常這種匯報方式會為CISO帶來更高的薪酬。

CISO向董事會匯報的方式(針對1000人或以上規(guī)模公司的研究)

N=133位CISO，《2013薪水基準(zhǔn)報告》，Ponemon Institute。

Brody認(rèn)為：“這兩個角色都在演進(jìn)中。讓我們思考IT技術(shù)的未來。如果每一個企業(yè)都將采用“自帶設(shè)備”(BYOD)辦公方式，減少基礎(chǔ)設(shè)施投入，把所有應(yīng)用都放到云里面去，那么CIO與安全官的職能很快將進(jìn)行對調(diào)。”

業(yè)界需要為信息安全從業(yè)人員定義一條職業(yè)通道，并指引他們獲得更好的職業(yè)發(fā)展。Brody認(rèn)為，CISO職業(yè)現(xiàn)在僅僅在做自我定位。他說：“它是一片這樣的職場，成功未獲得通常意義的承認(rèn)，而失敗被不成比例地過度強(qiáng)調(diào)，有時還會登上《華盛頓郵報》頭版。但它是非常有意義的精神享受，也即完成某件事的當(dāng)天結(jié)束時獲得的那種成就感。信息安全這類職業(yè)沒有常規(guī)可循。”